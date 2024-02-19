Dans un environnement de menaces de plus en plus complexe, nous nous trouvons à un carrefour où le droit, la technologie et la communauté convergent. La cyber-résilience est donc plus cruciale que jamais. La cyber-résilience consiste essentiellement à maintenir une posture de sécurité robuste malgré les cyberévénements indésirables et à être capable de les anticiper, d’y résister, de s’en remettre et de s’y adapter.
Au-delà des nouvelles réglementations sur la confidentialité et la protection des données (RGPD, HIPAA et CCPA) plus nombreuses que jamais, saviez-vous qu’il existe une nouvelle législation qui traite spécifiquement de la cyber-résilience ?
La récente modification apportée par l’Union européenne à la loi sur la cyber-résilience (CRA) a fait des vagues dans le monde de la technologie. Ce projet de loi a été proposé en septembre 2022 et a fait l’objet d’un accord politique avec un amendement controversé en décembre 2023. Cette loi vise à renforcer la cybersécurité dans l’ensemble de l’UE, mais elle a pris un virage inattendu en redéfinissant l’essence même des logiciels open source.
L’amendement redéfinit les logiciels open source, ce qui pourrait marquer un changement de paradigme dans la manière dont les logiciels open source sont développés, partagés et perçus dans le paysage numérique européen.
La réaction du secteur technologique a été un mélange d’optimisme prudent et d’appréhension, reflétant les diverses implications pour les développeurs open source et l’écosystème dans son ensemble.
En découvrant les différentes couches du dernier amendement du CRA, nous pouvons nous concentrer sur son impact sur la communauté open source, la prise de température du secteur et le parcours des logiciels open source dans le labyrinthe législatif du CRA.
Le CRA a récemment subi des modifications importantes, notamment concernant la définition et la gestion des logiciels open source. L’amendement stipule que « les logiciels libres et open source sont considérés comme des logiciels dont le code source est ouvertement partagé et dont la licence donne tous les droits pour le rendre librement accessible, utilisable, modifiable et redistribuable. »
Cette redéfinition a suscité un débat au sein de la communauté technologique, soulevant des questions quant à son alignement sur la conception traditionnelle de l’open source.
La réponse du secteur technologique à cet amendement a été variée. D’une part, des entreprises comme la Python Software Foundation ont exprimé leur soulagement. Le texte final du CRA introduit le concept d’« intendant de logiciels libres », qui semble reconnaître la nature unique du développement de logiciels open source. D’autre part, les implications générales de cette redéfinition et la manière dont elle s’aligne sur les réalités du développement open source suscitent toujours de vives inquiétudes.
Pour les développeurs open source, les amendements du CRA pourraient signifier devoir naviguer dans un nouvel environnement de responsabilités et de définitions légales. La loi déplace une part importante de la charge de sécurité sur les développeurs de logiciels, ce qui pourrait être un défi pour les membres de la communauté open source. La notion d’« intendant de logiciels libres » est nouvelle dans le droit européen et sa mise en œuvre pratique reste à voir.
Le parcours des logiciels open source à travers les itérations du CRA a été assez compliqué. Au départ, il y avait des inquiétudes quant aux responsabilités juridiques potentielles qui pourraient être imposées aux développeurs open source, notamment en ce qui concerne les questions de sécurité des produits construits avec des composants open source.
Le texte final du CRA semble avoir répondu à certaines de ces préoccupations en exemptant les contributeurs open source à but non lucratif de certaines obligations, à condition qu’ils n’exercent pas d’« activité commerciale ». Cependant, cette exemption présente ses propres ambiguïtés, notamment en ce qui concerne la définition de l’activité commerciale.
Le dernier amendement du CRA représente une étape importante dans la reconnaissance de la nature unique des logiciels open source dans le droit européen. Cependant, la communauté open source reste prudente. La redéfinition des logiciels open source dans le CRA et l’introduction du concept d’« intendant de logiciels libres » nécessitent une surveillance minutieuse pour s’assurer qu’elles correspondent aux intentions et aux pratiques du développement open source. Alors que le CRA avance vers la finalisation, l’apport de la communauté open source sera crucial pour élaborer une loi qui soutienne et comprenne les subtilités du développement logiciel open source.